“Technologists have historically failed to evaluate the effectiveness of authentication requirements against all reasonable attacks, to disclose the shortcomings of these requirements, and to account for and acknowledge their negative impact on users.” Excellent article about #2FA but the lessons about #cybersecurity are more general.
▻https://medium.com/@stuartschechter/before-you-turn-on-two-factor-authentication-27148cc5b9a1
Un projet de #fichage géant des citoyens non membres de l’#UE prend forme en #Europe
Un accord provisoire a été signé le 5 février entre la présidence du Conseil européen et le Parlement européen pour renforcer les contrôles aux frontières de l’Union. Il va consolider la mise en commun de fichiers de données personnelles. Les défenseurs des libertés individuelles s’alarment.
Des appareils portables équipés de lecteurs d’#empreintes_digitales et d’#images_faciales, pour permettre aux policiers de traquer des terroristes : ce n’est plus de la science-fiction, mais un projet européen en train de devenir réalité. Le 5 février 2019, un accord préliminaire sur l’#interopérabilité des #systèmes_d'information au niveau du continent a ainsi été signé.
Il doit permettre l’unification de six #registres avec des données d’#identification_alphanumériques et biométriques (empreintes digitales et images faciales) de citoyens non membres de l’UE. En dépit des nombreuses réserves émises par les Cnil européennes.
Giovanni Buttarelli, contrôleur européen de la protection des données, a qualifié cette proposition de « point de non-retour » dans le système de base de données européen. En substance, les registres des demandeurs d’asile (#Eurodac), des demandeurs de visa pour l’Union européenne (#Visa) et des demandeurs (système d’information #Schengen) seront joints à trois nouvelles bases de données mises en place ces derniers mois, toutes concernant des citoyens non membres de l’UE.
Pourront ainsi accéder à la nouvelle base de données les forces de police des États membres, mais aussi les responsables d’#Interpol, d’#Europol et, dans de nombreux cas, même les #gardes-frontières de l’agence européenne #Frontex. Ils pourront rechercher des personnes par nom, mais également par empreinte digitale ou faciale, et croiser les informations de plusieurs bases de données sur une personne.
« L’interopérabilité peut consister en un seul registre avec des données isolées les unes des autres ou dans une base de données centralisée. Cette dernière hypothèse peut comporter des risques graves de perte d’informations sensibles, explique Buttarelli. Le choix entre les deux options est un détail fondamental qui sera clarifié au moment de la mise en œuvre. »
Le Parlement européen et le Conseil doivent encore approuver officiellement l’accord, avant qu’il ne devienne législation.
Les #risques de la méga base de données
« J’ai voté contre l’interopérabilité parce que c’est une usine à gaz qui n’est pas conforme aux principes de proportionnalité, de nécessité et de finalité que l’on met en avant dès lors qu’il peut être question d’atteintes aux droits fondamentaux et aux libertés publiques, assure Marie-Christine Vergiat, députée européenne, membre de la commission des libertés civiles. On mélange tout : les autorités de contrôle aux #frontières et les autorités répressives par exemple, alors que ce ne sont pas les mêmes finalités. »
La proposition de règlement, élaborée par un groupe d’experts de haut niveau d’institutions européennes et d’États membres, dont les noms n’ont pas été révélés, avait été présentée par la Commission en décembre 2017, dans le but de prévenir les attaques terroristes et de promouvoir le contrôle aux frontières.
Les institutions de l’UE sont pourtant divisées quant à son impact sur la sécurité des citoyens : d’un côté, Krum Garkov, directeur de #Eu-Lisa – l’agence européenne chargée de la gestion de l’immense registre de données –, estime qu’elle va aider à prévenir les attaques et les terroristes en identifiant des criminels sous de fausses identités. De l’autre côté, Giovanni Buttarelli met en garde contre une base de données centralisée, qui risque davantage d’être visée par des cyberattaques. « Nous ne devons pas penser aux simples pirates, a-t-il déclaré. Il y a des puissances étrangères très intéressées par la vulnérabilité de ces systèmes. »
L’utilité pour l’antiterrorisme : les doutes des experts
L’idée de l’interopérabilité des systèmes d’information est née après le 11-Septembre. Elle s’est développée en Europe dans le contexte de la crise migratoire et des attentats de 2015, et a été élaborée dans le cadre d’une relation de collaboration étroite entre les institutions européennes chargées du contrôle des frontières et l’industrie qui développe les technologies pour le mettre en œuvre.
« L’objectif de lutte contre le terrorisme a disparu : on parle maintenant de “#fraude_à_l'identité”, et l’on mélange de plus en plus lutte contre la #criminalité et lutte contre l’immigration dite irrégulière, ajoute Vergiat. J’ai participé à la commission spéciale du Parlement européen sur la #lutte_contre_le_terrorisme ; je sais donc que le lien entre #terrorisme et #immigration dite irrégulière est infinitésimal. On compte les cas de ressortissants de pays tiers arrêtés pour faits de terrorisme sur les doigts d’une main. »
Dans la future base de données, « un référentiel d’identité unique collectera les données personnelles des systèmes d’information des différents pays, tandis qu’un détecteur d’identités multiples reliera les différentes identités d’un même individu », a déclaré le directeur d’Eu-Lisa, lors de la conférence annuelle de l’#Association_européenne_de_biométrie (#European_Association_for_Biometrics – #EAB) qui réunit des représentants des fabricants des technologies de #reconnaissance_numérique nécessaires à la mise en œuvre du système.
« Lors de l’attaque de Berlin, perpétrée par le terroriste Anis Amri, nous avons constaté que cet individu avait 14 identités dans l’Union européenne, a-t-il expliqué. Il est possible que, s’il y avait eu une base de données interopérable, il aurait été arrêté auparavant. »
Cependant, Reinhard Kreissl, directeur du Vienna Centre for Societal Security (Vicesse) et expert en matière de lutte contre le terrorisme, souligne que, dans les attentats terroristes perpétrés en Europe ces dix dernières années, « les auteurs étaient souvent des citoyens européens, et ne figuraient donc pas dans des bases de données qui devaient être unifiées. Et tous étaient déjà dans les radars des forces de police ».
« Tout agent des services de renseignement sérieux admettra qu’il dispose d’une liste de 1 000 à 1 500 individus dangereux, mais qu’il ne peut pas les suivre tous, ajoute Kreissl. Un trop-plein de données n’aide pas la police. »
« L’interopérabilité coûte des milliards de dollars et l’intégration de différents systèmes n’est pas aussi facile qu’il y paraît », déclare Sandro Gaycken, directeur du Digital Society Institute à l’Esmt de Berlin. « Il est préférable d’investir dans l’intelligence des gens, dit l’expert en cyberintelligence, afin d’assurer plus de #sécurité de manière moins intrusive pour la vie privée. »
Le #budget frontière de l’UE augmente de 197 %
La course aux marchés publics pour la mise en place de la nouvelle base de données est sur le point de commencer : dans le chapitre consacré aux dépenses « Migration et contrôle des frontières » du budget proposé par la Commission pour la période 2021-2027, le fonds de gestion des frontières a connu une augmentation de 197 %, tandis que la part consacrée aux politiques de migration et d’asile n’a augmenté, en comparaison, que de 36 %.
En 2020, le système #Entry_Exit (#Ees, ou #SEE, l’une des trois nouvelles bases de données centralisées avec interopérabilité) entrera en vigueur. Il oblige chaque État membre à collecter les empreintes digitales et les images de visages de tous les citoyens non européens entrant et sortant de l’Union, et d’alerter lorsque les permis de résidence expirent.
Cela signifie que chaque frontière, aéroportuaire, portuaire ou terrestre, doit être équipée de lecteurs d’empreintes digitales et d’images faciales. La Commission a estimé que ce SEE coûterait 480 millions d’euros pour les quatre premières années. Malgré l’énorme investissement de l’Union, de nombreuses dépenses resteront à la charge des États membres.
Ce sera ensuite au tour d’#Etias (#Système_européen_d’information_de_voyage_et_d’autorisation), le nouveau registre qui établit un examen préventif des demandes d’entrée, même pour les citoyens de pays étrangers qui n’ont pas besoin de visa pour entrer dans l’UE. Cette dernière a estimé son coût à 212,1 millions d’euros, mais le règlement, en plus de prévoir des coûts supplémentaires pour les États, mentionne des « ressources supplémentaires » à garantir aux agences de l’UE responsables de son fonctionnement, en particulier pour les gardes-côtes et les gardes-frontières de Frontex.
C’est probablement la raison pour laquelle le #budget proposé pour Frontex a plus que triplé pour les sept prochaines années, pour atteindre 12 milliards d’euros. Le tout dans une ambiance de conflits d’intérêts entre l’agence européenne et l’industrie de la biométrie.
Un membre de l’unité recherche et innovation de Frontex siège ainsi au conseil d’administration de l’#Association_européenne_de_biométrie (#EAB), qui regroupe les principales organisations de recherche et industrielles du secteur de l’identification numérique, et fait aussi du lobbying. La conférence annuelle de l’association a été parrainée par le géant biométrique français #Idemia et la #Security_Identity_Alliance.
L’agente de recherche de Frontex et membre du conseil d’EAB Rasa Karbauskaite a ainsi suggéré à l’auditoire de représentants de l’industrie de participer à la conférence organisée par Frontex avec les États membres : « L’occasion de montrer les dernières technologies développées. » Un représentant de l’industrie a également demandé à Karbauskaite d’utiliser son rôle institutionnel pour faire pression sur l’Icao, l’agence des Nations unies chargée de la législation des passeports, afin de rendre les technologies de sécurité des données biométriques obligatoires pour le monde entier.
La justification est toujours de « protéger les citoyens européens du terrorisme international », mais il n’existe toujours aucune donnée ou étude sur la manière dont les nouveaux registres de données biométriques et leur interconnexion peuvent contribuer à cet objectif.
►https://www.mediapart.fr/journal/international/250219/un-projet-de-fichage-geant-de-citoyens-prend-forme-en-europe
#surveillance_de_masse #surveillance #étrangers #EU #anti-terrorisme #big-data #biométrie #complexe_militaro-industriel #business
Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine des frontières et des visas
Point 9 du préambule du règlement UE 2019/817
"Dans le but d’améliorer l’efficacité et l’efficience des vérifications aux frontières extérieures, de contribuer à prévenir et combattre l’immigration illégale et de favoriser un niveau élevé de sécurité au sein de l’espace de liberté, de sécurité et de justice de l’Union, y compris la préservation de la sécurité publique et de l’ordre public et la sauvegarde de la sécurité sur les territoires des États membres, d’améliorer la mise en œuvre de la politique commune des visas, d’aider dans l’examen des demandes de protection internationale, de contribuer à la prévention et à la détection des infractions terroristes et d’autres infractions pénales graves et aux enquêtes en la matière, de faciliter l’identification de personnes inconnues qui ne sont pas en mesure de s’identifier elles-mêmes ou des restes humains non identifiés en cas de catastrophe naturelle, d’accident ou d’attaque terroriste, afin de préserver la confiance des citoyens à l’égard du régime d’asile et de migration de l’Union, des mesures de sécurité de l’Union et de la capacité de l’Union à gérer les frontières extérieures, il convient d’établir l’interopérabilité des systèmes d’information de l’UE, à savoir le système d’entrée/de sortie (EES), le système d’information sur les visas (VIS), le système européen d’information et d’autorisation concernant les voyages (ETIAS), Eurodac, le système d’information Schengen (SIS) et le système européen d’information sur les casiers judiciaires pour les ressortissants de pays tiers (ECRIS-TCN), afin que lesdits systèmes d’information de l’UE et leurs données se complètent mutuellement, tout en respectant les droits fondamentaux des personnes, en particulier le droit à la protection des données à caractère personnel. À cet effet, il convient de créer un portail de recherche européen (ESP), un service partagé d’établissement de correspondances biométriques (#BMS partagé), un répertoire commun de données d’identité (#CIR) et un détecteur d’identités multiples (#MID) en tant qu’éléments d’interopérabilité.
▻http://www.europeanmigrationlaw.eu/fr/articles/actualites/bases-de-donnees-interoperabilite-reglement-ue-2019817-frontier
Captive Audience: How Companies Make Millions Charging Prisoners to Send An Email
For companies like JPay, the business model is simple: Whatever it costs to send a message, prisoners and their families will find a way to pay it.
▻https://www.wired.com/story/jpay-securus-prison-email-charging-millions
#prisons #internet #communication #security_complex
Concours, liards et acné : quand le hasard règle vos comptes
▻https://www.klakinoumi.com/2018/04/24/concours-spotify-premium-generateur-comptes-voles
« une galaxie de comptes Twitter en France (mais j’en ai aussi trouvé à l’étranger), tenue principalement par des mômes, organise des concours et fait gagner des lots complètement pétés qui prennent la forme de comptes premium volés. Spotify, Netflix, Minecraft, Origin… Tout ce qui est rentable y passe. C’est à dire que lorsque tu gagnes, on te transmet un login et un mot de passe permettant d’utiliser un compte premium à l’insu de son propriétaire véritable. »
Hackers Came, but the French Were Prepared
▻https://www.nytimes.com/2017/05/09/world/europe/hackers-came-but-the-french-were-prepared.html?smid=tw-share&_r=0
“We went on a counteroffensive,” said Mr. Mahjoubi. “We couldn’t guarantee 100 percent protection” from the attacks, “so we asked: what can we do?” Mr. Mahjoubi opted for a classic “cyber-blurring” strategy, well known to banks and corporations, creating false email accounts and filled them with phony documents the way a bank teller keeps fake bills in the cash drawer in case of a robbery.
Les #services_secrets britanniques condamnés pour avoir collecté des millions de données illégalement
▻http://www.lemonde.fr/pixels/article/2016/10/17/les-services-secrets-britanniques-condamnes-pour-avoir-collecte-des-millions
Les services secrets britanniques du #MI5, du #MI6 et du #GCHQ ont été condamnés par un tribunal spécial pour avoir illégalement collecté des données pendant une dizaine d’années sur des citoyens britanniques. L’#Investigatory_Powers_Tribunal, une cour spéciale seule habilitée à juger les procédures contre les services de #renseignement, a estimé (voir le fichier pdf) que « le régime secret de collecte de #données_personnelles » mis en place par ces agences, qui enregistraient « de très nombreuses données personnelles et confidentielles sans garde-fous ou système de contrôle », était hors la loi.
▻https://www.theguardian.com/world/2016/oct/17/uk-security-agencies-unlawfully-collected-data-for-decade
Perte de mot de passe sous #Windows 10
▻http://www.dsfc.net/systemes/windows/perte-mot-de-passe-windows-10
Grâce à mes lecteurs, j’ai trouvé une méthode pour recouvrir la session et le mot de passe d’un utilisateur un système #Windows_10.
#Chntpw #Formateur_Sécurité_informatique #John_The_Ripper #Offline_NT_Password_&_Registry_Editor #SAM #Sécurité_informatique #Security_Account_Manager #Windows_8.1 #Windows_Server_2012_R2
The campus’ #security manager, after more or less admitting that his bag checkpoints are worthless apart from following orders and reassuring some people: “yes, but imagine if anything happened and we had not put those measures in place”. Thank you Mr. security manager for summing up the situation nicely.
Another topic[1] that will be presented at the 32nd Chaos Communication Congress in Hamburg:
The German developer Alexander Graf found badly protected SSH passwords in the memory of his cable modem, which granted access to the maintenance network of Kabel Deutschland, a Vodafone company.
In doing so, he could freely look at the modems of 2.8 million Germans.
When searching for a way to make his VoIP device work with the modem (Fritzbox), he discovered a hidden network connection “wan0”, which was part of the operations & maintenance network. Through that network he could access other modems via Telnet.
Then he managed to execute any code with root access on the modems, and in doing so he managed to obtain their passwords and could call for free using their network connection.
Describing the discovery of the issue:
▻http://www.heise.de/newsticker/meldung/Fatales-Sicherheitsleck-bei-Kabel-Deutschland-Vodafone-bedrohte-Millionen-Kabe
▻http://www.heise.de/ct/ausgabe/2016-1-Schwerwiegende-Sicherheitsluecken-bei-Kabel-Deutschland-3047883.html
His topic to be presented on the Chaos Communication Congress :
▻https://events.ccc.de/congress/2015/Fahrplan/events/7133.html
Kabel Deutschland says they have fixed the problem now:
▻http://www.telecompaper.com/news/kabel-deutschland-repairs-router-security-flaw--1120500
One month after notifying the provider, Kabel Deutschland stated that customers are now isolated from one another.
#DOCSIS
#cable_modem
#password
#security_flaw
___
Egyptian #police: In Service of the Regime
▻http://english.al-akhbar.com/node/23422
Four years ago, the Egyptian police were at the height of their power, manifested in teargas bombs, weapons, and an iron grip. Then they were overpowered by the people in less than 72 hours. Despite promises to restructure the police apparatus, the violent security policies against demonstrations have not changed.
#Articles #Egypt #January_25_revolution #Mohammed_Ibrahim #repression #security_forces #Shaima_Sabbagh #Mideast_&_North_Africa
A citizen’s guide to U.S. security and defense assistance
▻http://securityassistance.org
#Security_Assistance_Monitor documents all publicly accessible information on U.S. security and defense assistance programs throughout the world, including arms sales, military and police aid, training programs, exercises, exchanges, and deployments.
Présenté par Jim Lobe ▻http://www.ips.org/blog/ips/new-resource-for-tracking-us-military-and-police-aid
The incompetence of #syria’s #security_services
▻http://english.al-akhbar.com/content/incompetence-syria%E2%80%99s-security-services
Syrian displaced residents of the besieged rebel-held town of Moadamiyet al-Sham, in the suburbs of the capital Damascus, wait at a checkpoint to return to their homes on March 2, 2014. (Photo: AFP/STR) Syrian displaced residents of the besieged rebel-held town of Moadamiyet al-Sham, in the suburbs of the capital Damascus, wait at a checkpoint to return to their homes on March 2, 2014. (Photo: AFP/STR)
“Be careful! The walls have ears.” This sentence was often repeated by Syrian citizens since before the crisis. Interestingly, they aren’t referring to highly advanced security services, but rather to one of the most inflated, crumbling, and corrupt state institutions.
Ahmad Hassan (...)
#Mideast_&_North_Africa #Articles #Damascus_University #Homs
#Yemen president lashes out at ’below-par’ #security_services
▻http://english.al-akhbar.com/node/18648
Yemeni president #Abd-Rabbu_Mansour_Hadi on Saturday lashed out at the “below-par” performance of the country’s security services, after 29 inmates including suspected Al-Qaeda members escaped from Sanaa central prison. The prison break after an assault on Thursday unmasked a lack of improved security at the facility, despite vows by Al-Qaeda in the Arabian Peninsula (AQAP) chief Nasser al-Wuhayshi last year to free incarcerated members of his group. read more
#Jordan elected to #UN #Security_Council seat turned down by #Saudi_Arabia
▻http://english.al-akhbar.com/content/jordan-elected-un-security-council-seat-turned-down-saudi-arabia
The 193-member UN General Assembly elected Jordan to the UN Security Council on Friday to replace Saudi Arabia, which rejected its two-year term in protest at the council’s failure to end the Syria war and act on other Middle East issues. Saudi Arabia was elected in October to join the 15-member council from January 1, but in an unprecedented move Riyadh declined the role a day after the vote. While unopposed as the replacement, Jordan still needed two-thirds approval by the General Assembly. It was elected with 178 votes on Friday. (Reuters)
Why Did Riyadh Turn Down UN Seat ?
►http://english.al-akhbar.com/content/why-did-riyadh-turn-down-un-seat
An aerial view shows the clock tower and the nearby district of Jabal Omar (foreground) which is the location of the poorer district of the holy city of Mecca, on October 16, 2013. (Photo: AFP - Fayez Noureldine) An aerial view shows the clock tower and the nearby district of Jabal Omar (foreground) which is the location of the poorer district of the holy city of Mecca, on October 16, 2013. (Photo: AFP - Fayez Noureldine)
On (...)
#Mideast_&_North_Africa #Articles #Saudi_Arabia #Security_Council #syria #united_nations #united_states
Anatomy of a security hole - Google’s „Android Master Key” debacle explained
▻http://nakedsecurity.sophos.com/2013/07/10/anatomy-of-a-security-hole-googles-android-master-key-debacle-
This month’s “computer security elephant in the room” story is the news of a gaping security hole in Android application security. Paul Ducklin gives you a visual explanation of what the problem is all about, and offers some simple advice.
▻http://i0.wp.com/sophosnews.files.wordpress.com/2013/07/pwn3d-250.png?fit=1000%2C1000
Source: Naked Security
#android #cryptography #featured #google #malware #mobile #security_threats #android #apk #checksum #manifest #many_a_slip_twixt_cup_and_lip #master_key #verification
